Apache-SSL-Tomcat : bonnes pratiques ?

Bonjour,

Je dois mettre en place une architecture avec un serveur web Apache en frontal de 2 serveurs Tomcat. La communication doit être en HTTPS/SSL, et d'après ce que j'ai pu lire assez souvent, il est très courant d'avoir du HTTPS jusqu'au serveur Apache, puis du simple HTTP jusque Tomcat. D'ailleurs, c'est ce qui est aussi indiqué sur cette page : http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html (dans la rubrique "SSL and Tomcat").
Cela semble donc être une bonne pratique d'avoir ceci :

Code:

---

Client-----(connexion https/ssl)----->Apache-----(connexion http)----->Tomcat

---

Mais, dans mon cas, je dois transmettre des informations d'authentification au niveau applicatif, donc jusque Tomcat (par exemple un login et un password, ou bien par exemple un certificat) pour authentifier l'utilisateur et récupérer des droits d'accès. Cela veut donc dire que les infos d'authentification seront transmises en clair entre Apache et Tomcat.
Dans ce cas, faut-il du HTTPS aussi jusque Tomcat ? Quelle est la bonne pratique à adopter ?

Merci d'avance
Le marlou

Citation:

---

Envoyé par Le Marlou

Dans ce cas, faut-il du HTTPS aussi jusque Tomcat ? Quelle est la bonne pratique à adopter ?

---

Il n'y a pas de règle générale sur le sujet. La réponse dépend souvent des contraintes de sécurité imposées par l'hébergement ou les bonnes pratiques de sécurité de l'entreprise. Si tu n'as pas de contrainte particulière ou si Tomcat tourne sur la même machine qu'Apache, garde du HTTP simple entre Apache et Tomcat. Pour le reste, renseigne-toi sur ce qu'il se fait dans l'entreprise.

Bonjour, merci pour ta réponse.
Le serveur frontal sera physiquement distinct des serveurs d'appli, ce n'est pas la même machine. Il sera cependant dans la même "zone de déploiement", c'est-à-dire au sein d'un même réseau interne (dans la même salle serveur, connecté aux mêmes switchs/routeurs que les serveurs d'appli).
Pour ce qui est de la mise en place (ou non) du https/ssl entre Apache et Tomcat, en réalité, nous sommes en train de définir les specs système d'une future application, et le client chez qui sera déployé l'application n'a pas émis de souhait ou de contrainte sur ce sujet. C'est donc à nous de définir les protocoles de communication comme on le souhaite dans nos specs.
C'est pourquoi, avant d'écrire des bêtises, et pour offrir une architecture cohérente, je voulais savoir quelles sont les bonnes pratiques : HTTPS/SSL ou HTTP entre Apache et Tomcat, dans le cas où des infos d''authentification transitent entre les 2 ?